概要
複数のCisco製デスクフォン、IPフォン、およびビデオフォンにおいて、リモートからのサービス拒否(DoS)攻撃およびクロスサイトスクリプティング(XSS)攻撃につながる脆弱性が発見されました。これらの脆弱性は、Session Initiation Protocol(SIP)ソフトウェアの欠陥に起因し、Webアクセスが有効な状態でCisco Unified Communications Managerに登録されているDesk Phone 9800 Series、IP Phone 7800および8800 Series、Video Phone 8875モデルに影響を与えます。
現時点での回避策は存在せず、修正済みリリースへのアップデートが不可欠です。Ciscoは2025年10月15日にアドバイザリID cisco-sa-phone-dos-FPyjLV7Aを公開し、詳細を明らかにしました。
脆弱性の詳細
今回開示された脆弱性は、以下の2つです。
- CVE-2025-20350: リモートDoS(バッファオーバーフロー)
認証されていない攻撃者が特別に細工されたHTTPパケットを送信することで、バッファオーバーフローを引き起こし、デバイスの再起動を誘発してDoS状態を発生させます。CVSS基本スコアは7.5(高)です。
- CVE-2025-20351: クロスサイトスクリプティング(XSS)
攻撃者がサニタイズされていないユーザー入力を介して悪意のあるスクリプトを注入し、デバイスのWebインターフェースに対してXSS攻撃を実行できます。CVSS基本スコアは6.1(中)です。
これらの脆弱性はいずれも、Webアクセス機能がアクティブである場合にのみ悪用可能です。この機能はデフォルトで無効になっています。なお、Ciscoは、これらの脆弱性がMultiplatform Firmwareを実行しているデバイスには影響しないことを確認しています。
影響を受ける製品と対策
影響を受けるデバイスのユーザーは、Ciscoのアドバイザリに記載されている修正済みSIPソフトウェアバージョンにアップグレードする必要があります。一時的な回避策はありません。
- Desk Phone 9800 Series: SIP Software 3.3(1)以降
- IP Phone 7800および8800 Series: 14.3(1)SR2以降
- Video Phone 8875: SIP Software 3.3(1)以降
Webアクセスを無効にすることでリスクを軽減できますが、デバイス管理機能が制限される可能性があります。管理者は、Communications ManagerまたはBulk Administration Toolを使用してWebアクセス設定を切り替えることができます。
企業への影響と推奨事項
これらの電話機を日常の通信に利用している組織にとって、影響は甚大である可能性があります。DoS攻撃が成功すれば、多数のデバイスがオフラインになり、音声サービスが中断される恐れがあります。XSS攻撃は、機密性の高いセッションデータを露呈させたり、攻撃者が任意のスクリプトを実行して管理セッションを侵害したりする可能性があります。
これらの脆弱性はリモートから容易に悪用できるため、アップデートの遅延は露出と運用リスクを増大させます。管理者は直ちに、登録されているすべての電話機でWebアクセスの状態を確認し、メンテナンス期間中にアップデートをスケジュールして、業務への影響を最小限に抑える必要があります。多数のデバイスがある環境では、Bulk Administration Toolが効率的なアップデートパスを提供します。
これらのアップデートを優先することで、組織は通信インフラをこれらの重大な脆弱性から保護できます。Ciscoのセキュリティアドバイザリを継続的に監視し、パッチを迅速に適用することが、新たな脅威に対する最善の防御策です。
元記事: https://gbhackers.com/cisco-desk-ip-and-video-phones-vulnerable/